iZ | Fresh Market

10 แนวทางปฏิบัติการสำรองข้อมูลบน AWS อย่างมั่นคงปลอดภัย

Discussion started on มือถือ อุปกรณ์สื่อสาร

  • Karma: +0/-0
สำหรับผู้ใช้งาน AWS ที่สนใจเรื่อง Best Practice สำหรับการทำ Backup วันนี้พวกเราขอสรุปสาระจากบล็อกของ AWS มาให้ติดตามกันครับผม


1.) มีแผนการด้านการสำรองข้อมูล

มีแผนในการสำรองข้อมูลแจ่มแจ้ง ได้แก่ ข้อมูลส่วนใด จะทำบ่อยครั้งแค่ไหน ติดตามการสำรองรวมทั้งกู้คืนยังไง
ประเมินว่าอาจมีเหตุรบกวนใดเกิดขึ้นได้บ้าง รวมทั้งจะส่งผลกระทบเช่นไร
มีเนื้อหาการสำรองแล้วก็กู้คืนเชิงลึกกระจ่าง เป็นต้นว่า Point-in-time, Continuous Backup, ทำที่ระดับไฟล์ แอป Volume หรือ instance เป็นต้น แล้วก็ทำแล้วตอบปัญหา RTO/RPO หรือเปล่า
กลยุทธ์ที่ดีจะต้องมีเนื้อหากิจกรรมย่อยซึ่งสามารถคุ้มครองการโจมตีโดยละเอียด ดังเช่น แบบการกู้ยืมเป็นแบบผ่านบัญชี AWS หรือผ่าน Region
บางอุตสาหกรรมจำเป็นต้องคิดถึงเรื่องกฏหมายและกฎเกณฑ์ด้วยว่าจะเก็บกี่ชุด นานเท่าใด
ขอความเห็นกับกลุ่ม Security ที่ทำข้อกำหนดเหตุว่าทรัพยากรที่ต้อง Backup และก็กิจกรรมพวกนั้นควรจะรวมหรือแยกจากโปรแกรมที่บังคับในองค์กร
2.) แนวทางสำรองข้อมูลควรจะเป็นส่วนใดส่วนหนึ่งของกระบวนการทำ DR รวมทั้ง BCP

DR เป็นการตระเตรียม วิธีการตอบสนอง และกู้คืนจากภัยพินาศ ดังเช่น ความบกพร่องทางด้านเทคนิค ภัยธรรมชาติ หรือความบกพร่องของมนุษย์ ส่วน BCP ซึ่งก็คือแนวทางการทำให้ธุรกิจสามารถเดินต่อไปเมื่อเกิดเหตุที่กระทบต่อการให้บริการที่มิได้วางแผน ดังนี้ DR และก็ AWS Backup จะต้องเป็นส่วนย่อยภายใต้ BCP เพื่อตระเตรียมกับสถานการณ์เช่น เกิดเหตุการด้านความยั่งยืนมั่นคงไม่มีอันตรายที่กระทบกับข้อมูล Production ทำให้จำต้องใช้ข้อมูลที่สำรองไว้ ยิ่งไปกว่านี้ผู้ปฏิบัติงานควรจะมีความถนัดที่ทำได้จริงด้วย

3.) สร้างขั้นตอนให้เป็นอัตโนมัติถ้าหากองค์กรสามารถสร้างแนวทางการที่อัตโนมัติได้จะช่วยทำให้ การ Deploy Policy เป็นไปได้อย่างเป็นมาตรฐาน โดยเครื่องไม้เครื่องมือ AWS Organization คือสิ่งซึ่งสามารถตอบปัญหาที่ตรงนี้ได้ นอกเหนือจากนั้นควรจะมีวิธีการทำ Infrastructure as Code หรือปฏิบัติงานได้แบบ Event-driven ซึ่งเมื่อเกิดความอัตโนมัติแล้วจะช่วยลดความผิดพลาดจากการทำงานแบบ Manual ได้

4.) มีกลไกการควบคุมและการให้สิทธิสิทธิ์ในเบื้องต้นท่านสามารถใช้เครื่องไม้เครื่องมือ AWS IAM เพื่อตอบปัญหาด้านการ Authentication & Authorization รวมทั้งควรจะพินิจพิเคราะห์ตามหลัก Least Privilege โดยการให้สิทธิ์ต่ำที่สุดที่ต้อง เพื่อเข้าถึงข้อมูล Backup หรือ Vault ยิ่งกว่านั้นท่านยังสามารถใช้ Service Control Policy (SCP) เพื่อควบคุมสิทธิ์สูงสุดของบัญชีในองค์กร มากยิ่งกว่านั้น AWS ยังมีวัสดุ IAM Access Analyzer ที่สามารถช่วยพินิจพิจารณา IAM Role ที่แชร์ในบัญชี AWS, Root User, IAM User หรือ Federate User รวมทั้งอื่นๆ

5.) เข้ารหัสข้อมูลและก็ Vaultในกรณีที่ Access Control ยังไม่อาจจะป้องกันได้ทั้งผองอาทิเช่น การให้สิทธิ์มากไปในการเข้าถึง ระบบบริหารจัดแจง Key จะช่วยลดผลพวงของเหตุการณ์ได้ ซึ่งในส่วนของการส่งผ่านข้อมูล (in transit) AWS Backup ได้มีการปกป้องแล้วระหว่างการเรียกใช้ API ด้วย Transport Layer Security (TLS) แต่ในตอนเก็บข้อมูลท่านสามารถใช้เครื่องมือ AWS Key Management system (KMS) หรือ Cloud HSM ซึ่งมีอัลกอรึทึมการเข้ารหัสที่เป็นมาตรฐานให้แล้ว แค่เพียงท่านเลือกใช้ให้เหมาะกับความต้องการของกฏหมาย กฎเกณฑ์ของหน่วยงานเพียงแค่นั้น

มากยิ่งกว่านั้นผู้ใช้งาน AWS ยังสามารถสร้าง KMS Multi-region key เพื่อใช้ Key จาก Region อื่นมาจัดการอีก Region ได้ทำให้การโยกย้ายข้อมูลเข้ารหัสง่ายมากยิ่งกว่าเดิม

6.) ใช้ Immutable StorageImmutable Storage หรือการใช้งานในลักษณะที่สามารถเขียนครั้งเดียวแต่ว่าเรียกอ่านได้เสมอ โดยเบื้องต้นแล้วแนวทางการทำเช่นนี้จะช่วยเรื่อง Integrity ป้องกันการเขียนทับ ลบ หรือทำความเสียหาย ซึ่งการใช้ AWS Backup Vault Lock สามารถช่วยปกป้องกิจกรรมความประพฤติปฏิบัติอะไรก็ตามกับข้อมูล Backup จากผู้ใช้ที่มีสิทธิ์แม้กระทั่ง Root User ในบัญชี AWS

7.) มีการติดตามและระบบแจ้งเตือนงาน Backup บางทีอาจล้มเหลวได้ ซึ่งจะกระทบกับกรรมวิธีทั้งสิ้น ซึ่งผู้ใช้สามารถศึกษาต้นสายปลายเหตุได้จากการต่อว่าดตามระบบแจ้งเตือนจาก Amazon SNS รวมไปถึงติดตามค่าเมทริกซ์ได้ผ่านทาง CloudWatch หรือ EventBridge เพื่อติดตามการ Backup และ Event รวมถึง CloudTrail จะสามารถกล่าวได้ว่า Backup API เป็นเยี่ยงไร

8.) ตรวจทานการตั้งค่าการ Backupองค์กรจะต้องสำรวจให้มั่นใจว่า Backup Policy ตรงกับข้อปฏิบัติหรือไม่ และก็ต้องทำอย่างสม่ำเสมอ ซึ่งควรจะติดตามผลการตรวจสอบได้อัว่ากล่าวโนมัติ โดยท่านสามารถสร้างรายงานอัตโนมัติด้วย Backup Audit Manager ตามบัญชีและ Region ได้ ว่ามีทรัพยากรใดที่ครอบคลุมจากกลยุทธ์สำรองข้อมูล มีการทำบ่อยเพียงใด

9.) ทดสอบแผนการกู้คืนข้อมูลว่าทำเป็นจริงต้องมีการทดลองเพื่อให้รู้ว่า Recovery Point ใดที่สามารถกู้คืนได้แน่ โดย AWS จะมีการ Copy Tag ของทรัพยากรที่ถูกคุ้มครองปกป้องไปยัง Recovery Point อัตโนมัติแม้กระนั้นในทางตรงกันข้ามจะไม่มีการ Copy Tag จาก Recovery Point ไปยังทรัพยากรที่ถูกกู้คืน ซึ่งท่านควรที่จะเก็บ Tag ที่สร้างโดยงาน Backup เอาไว้ด้วยการใช้ AWS Backup Event เพื่อติดตามวิจิตรการ Replicate

อย่างไรก็ตามองค์กรจะต้องมี Workflow กล้วยๆสำหรับกู้คืนข้อมูลที่จะทำได้บ่อยครั้งเป็นต้นว่า การยืมคืนข้อมูลข้ามบัญชีหรือ Region จากการสำรองข้อมูลส่วนกลาง หากมีการทดลองไม่บ่อยพอเพียงท่านบางทีอาจเจอข้อผิดพลาดของ KMS Encryption สำหรับการผ่านบัญชีหรือ Region

10.) บรรจุแผนเรื่อง Backup ลงในการทำ Incident Responseแผนการสนองตอบเหตุการณ์ไม่คาดฝันต้องมีเรื่องการทดลอง Backup ไว้ด้วย เพื่อจะได้รับรู้ว่าถ้าเกิดเกิดเหตุจริงจะมีขั้นตอนอย่างไรให้พร้อมจัดการ โดยท่านสามารถใช้ AWS Backup เพื่อทดลองการ Backup ระดับ Instance แล้วก็ Volume โดยการ Snapshot ข้ามบัญชี ซึ่งข้อมูลนี้จะช่วยให้กลุ่มพิสูจน์หลักฐานดำเนินการเจริญขึ้นยกตัวอย่างเช่น การเก็บ Disk ที่เกิดเหตุหรือทราบ Recovery Point ที่ลดผลพวงจากการโจมตี
#1 - January 21, 2022, 12:53:49 PM




ศูนย์รวมเว็บบอร์ด SMF ฟรี

| ตลาดออนไลน์ | ขายของ | สินค้าใหม่ | สินค้ามือ 2 | สถานบริการ | ซื้อ-ขาย เกี่ยวกับกีฬา | ซื้อ-ขาย คอมพิวเตอร์ | เครื่องจักรหนัก เบา | นวัตรกรรมสิ่งประดิษฐ์แนวใหม่ และภูมิปัญญาท้องถิ่น | มือถือ อุปกรณ์สื่อสาร | เครื่องใช้ไฟฟ้า อุปกรณ์ที่ใช้ไฟฟ้า | ซื้อ-ขาย เกมส์ ของเล่น | ธุรกิจท่องเที่ยว ทัวร์ ที่พัก | ธุรกิจบันเทิง เพลง ดนตรี | กิจกรรมนันทนาการ งานอดิเรก ผ่อนคลาย | แฟชั่น เสื้อผ้า เครื่องประดับ | ผลิตภัณฑ์เสริมสวย สุขภาพ | อาหาร และยา ปัจจัย 4 | ผลิตภัณฑ์สำหรับแม่ และเด็ก | เกี่ยวกับการศึกษา | งานภาครัฐ และเอกชน, หางานทุกประเภท ทุกตำแหน่ง | ธุรกิจอสังหาริมทรัพย์ | เฟอร์นิเจอร์ ของตกแต่งบ้าน ธุรกิจตกแต่งบ้าน ดูแลรักษาบ้าน | ธุรกิจยานพาหนะ | รับจ้างทั่วไป | ตลาดฟอเร็กซ์ | ตลาดหุ้น | รับจ้างโพสต์บอร์ด แชร์ ไลค์ เฟสบุ๊ค | แชร์ ไลค์ ติดตาม ยูทูป | โปรโมทเว็บไซต์ ประชาสัมพันธ์สินค้า SEO |

สนับสนุน โดย

| M88 | 188BET | HappyLuke | FUN88 | WIN365 | 1XBET | WINS88 | W88 | NOWBET | Vwin | Dafabet | DEWABET | 12BET | LiveCasinoHouse |
|

ผู้ให้บริการเซิร์ฟเวอร์ โดย

| | |

เครือข่ายสังคมออนไลน์